支持多種訪問控制方法的統(tǒng)一授權系統(tǒng)研究.pdf

1、在分布式計算環(huán)境中，由于大量的網(wǎng)絡設備、主機系統(tǒng)和應用系統(tǒng)分別屬于不同的部門和不同的業(yè)務系統(tǒng)。若這些業(yè)務系統(tǒng)都獨立維護一套用戶權限管理系統(tǒng)，當系統(tǒng)管理員同時對多個系統(tǒng)進行維護時，工作復雜度會成倍地增加。且多個權限管理系統(tǒng)會對用戶的使用造成不便。目前分布式計算環(huán)境下訪問控制技術的一種發(fā)展趨勢是采用集中式的身份與授權策略管理，即由一專門的系統(tǒng)為企業(yè)、機構的各類計算機系統(tǒng)、應用服務系統(tǒng)提供集中的身份與授權策略管理。許多公司的授權系統(tǒng)都采用了集

2、中式身份與授權策略管理技術，并據(jù)此實現(xiàn)訪問控制。但是，這種集中式的授權管理系統(tǒng)在實際應用中也面臨著一些技術問題，比較突出的有：如何同時支持不同的訪問控制方法，如ACL(AccessControl List)、RBAC(Role-based Access Control)、ABAC(Attribute-based AccessControl)等；如何對眾多的、不同的資源進行統(tǒng)一的、有效的授權策略管理。
　　 本文對集中式身份與授權

3、策略管理技術進行了研究，提出了一種新的統(tǒng)一權限與策略管理方式。該方式針對不同的訪問控制方法同時定義不同類型的授權策略（如ACL、RBAC、ABAC授權策略）并以通用的形式存放在數(shù)據(jù)庫中，使得授權系統(tǒng)可以根據(jù)訪問控制方法的需要靈活的選擇使用授權策略，從而支持多種訪問控制方法。
　　 本文同時提出了一種可以自動根據(jù)請求類型查詢指派授權Provider(提供者)的Manager-Provider（管理者-提供者）架構。該架構使用多個P

4、rovider以提供針對不同訪問控制方法的授權功能，并由一個Manager進行管理。并通過提供對這些Provider的查詢服務，自動引導外界選擇、使用Provider進行授權。這種Manager-Provider架構使得統(tǒng)一授權系統(tǒng)可以很好的嵌入到使用各種訪問控制方法的系統(tǒng)平臺中，而且可以動態(tài)增加新的組件以擴展其授權決策功能。
　　 本文還提出了一種策略繼承機制，該機制簡化了資源、策略信息的組織結構，大大提高了在線授權決策的效率